服務持有人權杖 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

服務持有人權杖

有些 AWS 服務需要您取得 AWS STS 服務承載字符的許可,才能以程式設計方式存取其資源。這些服務支援的協定會要求您使用持有人權杖,而不是使用傳統的 AWS API 請求的簽章版本 4。當您執行需要承載字符的 AWS CLI 或 AWS API 操作時, AWS 服務會代表您請求承載字符。該服務會提供您權杖,接著您就可以使用該權杖在該服務中執行後續操作。

AWS STS 服務承載字符包含原始主體身分驗證中可能影響您許可的資訊。此資訊可能包括主體標籤、工作階段標籤和工作階段政策。權杖的存取金鑰 ID 會以 ABIA 字首開頭。這可協助您在 CloudTrail 日誌中識別出使用服務持有人權杖來執行的操作。

重要

持有人權杖只能用於對產生該權杖之服務的呼叫,以及產生該權杖的區域中。您無法在其他服務或區域中使用持有人權杖執行操作。

支援承載字符的服務範例是 AWS CodeArtifact。您必須先呼叫 aws codeartifact get-authorization-token操作,才能使用 NPM、Maven 或 PIP 等套件管理員與 AWS CodeArtifact 互動。此操作會傳回承載字符,您可以用來執行 AWS CodeArtifact 操作。或者,您也可以使用能完成相同操作並自動設定您用戶端的 aws codeartifact login 命令。

如果您在為您產生承載字符的 AWS 服務中執行 動作,您必須在 IAM 政策中擁有下列許可:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowServiceBearerToken",
            "Effect": "Allow",
            "Action": "sts:GetServiceBearerToken",
            "Resource": "*"
        }
    ]
}

如需服務持有人權杖範例,請參閱 AWS CodeArtifact 使用者指南中的將以身分為基礎的政策用於 AWS CodeArtifact